Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Cláusula - Gestión de La Continuidad

    Cargado por

    William Alfredo
    13 vistas6 páginas

    Título original

    12. Cláusula - Gestión de la Continuidad.docx

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    DOCX, PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    13 vistas6 páginas

    Cláusula - Gestión de La Continuidad

    Cargado por

    William Alfredo

    Copyright:

    © All Rights Reserved
    Descargue como DOCX, PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 6

    Código: PGT-PSI-002

    ÁREA DE PROCESO DE GESTIÓN TIC Página: 1 DE 6


    Versión: 01
    POLÍTICA DE SEGURIDAD DE LA Fecha de Emisión:
    INFORMACIÓN 19/07/2017
    Fecha de Actualización:

    12. CLÁUSULA: GESTIÓN DE LA CONTINUIDAD

    Firmantes
    Nombre Fecha Firma

    DD/MM/AAAA

    DD/MM/AAAA

    Historial
    Fecha Razón del Cambio Autor(es)

    DD/MM/AAAA

    DD/MM/AAAA
    Código: PGT-PSI-002
    ÁREA DE PROCESO DE GESTIÓN TIC Página: 1 DE 6
    Versión: 01
    POLÍTICA DE SEGURIDAD DE LA Fecha de Emisión:
    INFORMACIÓN 19/07/2017
    Fecha de Actualización:

    Generalidades

    La administración de la continuidad de las actividades es un proceso crítico que


    debe involucrar a todas las áreas de Proceso de Gestión TIC.

    El desarrollo e implementación de planes de contingencia es una herramienta


    básica para garantizar que las actividades del Área puedan restablecerse dentro
    de los plazos requeridos.

    Dichos planes deben mantenerse actualizados y transformarse en una parte


    integral del resto de los procesos de administración y gestión, debiendo incluir
    necesariamente controles destinados a identificar y reducir riesgos, atenuar las
    consecuencias de eventuales interrupciones de las actividades del Área y
    asegurar la reanudación oportuna de las operaciones, actividades y/o servicios
    indispensables.

    Objetivo

    Minimizar los efectos de las posibles interrupciones de las actividades normales


    del Área (sean éstas resultado de desastres naturales, accidentes, fallas en el
    equipamiento, acciones deliberadas u otros hechos) y proteger los procesos
    críticos mediante una combinación de controles preventivos y acciones de
    recuperación.

    Analizar las consecuencias de la interrupción del servicio y tomar las medidas


    correspondientes para la prevención de hechos similares en el futuro.

    Maximizar la efectividad de las operaciones de contingencia del Área con el


    establecimiento de planes que incluyan al menos las siguientes etapas:

     Notificación / Activación: Consistente en la detección y determinación del


    daño y la activación del plan.
     Reanudación: Consistente en la restauración temporal de las operaciones y
    recuperación del daño producido al sistema original.
     Recuperación: Consistente en la restauración de las capacidades de
    proceso del sistema a las condiciones de operación normales.
    Código: PGT-PSI-002
    ÁREA DE PROCESO DE GESTIÓN TIC Página: 1 DE 6
    Versión: 01
    POLÍTICA DE SEGURIDAD DE LA Fecha de Emisión:
    INFORMACIÓN 19/07/2017
    Fecha de Actualización:

    Alcance

    Esta Política se aplica a todos los procesos críticos identificados del Organismo.

    Política

    10.1 Categoría: Aspectos de seguridad de la información en la gestión de la


    continuidad

    Objetivo

    Contraatacar las interrupciones a las actividades del organismo y proteger los


    procesos críticos de los efectos de fallas importantes o desastres en los sistemas
    de información y asegurar su reanudación oportuna.

    10.1.1 Control: Inclusión de la seguridad de la información en el proceso de


    gestión de la continuidad

    El encargado del Área de la Seguridad Informática en conjunto con los empleados


    de cada área serán los responsables de la coordinación del desarrollo de los
    procesos que garanticen la continuidad de las actividades del Área de Proceso de
    Gestión TIC.

    Deben tener a cargo la coordinación del proceso de administración de la


    continuidad de la operatoria de los sistemas de tratamiento de información de
    Proceso de Gestión TIC frente a interrupciones imprevistas, lo cual incluye las
    siguientes funciones:

     Identificar y priorizar los procesos críticos de las actividades del Área de


    Proceso de Gestión TIC.
     Asegurar que todos los integrantes del Área comprendan los riesgos que la
    misma enfrenta, en términos de probabilidad de ocurrencia e impacto de
    posibles amenazas, así como los efectos que una interrupción puede tener
    en la actividad del Área.
     Elaborar y documentar una estrategia de continuidad de las actividades del
    Área consecuente con los objetivos y prioridades acordados.
     Proponer planes de continuidad de las actividades del Área de Proceso de
    Gestión TIC de conformidad con la estrategia de continuidad acordada.
    Código: PGT-PSI-002
    ÁREA DE PROCESO DE GESTIÓN TIC Página: 1 DE 6
    Versión: 01
    POLÍTICA DE SEGURIDAD DE LA Fecha de Emisión:
    INFORMACIÓN 19/07/2017
    Fecha de Actualización:

     Establecer un cronograma de pruebas periódicas de cada uno de los planes


    de contingencia, proponiendo una asignación de funciones para su
    cumplimiento.
     Coordinar actualizaciones periódicas de los planes y procesos
    implementados.
     Considerar la contratación de seguros que podrían formar parte del proceso
    de continuidad de las actividades del Área.

    10.1.2 Control: Continuidad del negocio y evaluación de riesgos

    Con el fin de establecer un Plan de Continuidad de las Actividades del Área de


    Proceso de Gestión TIC se deben contemplar los siguientes puntos:

     Identificar los eventos (amenazas) que puedan ocasionar interrupciones en


    los procesos de las actividades, por ejemplo, fallas en el equipamiento,
    comisión de ilícitos, interrupción del suministro de energía eléctrica,
    inundación e incendio, desastres naturales, destrucción edilicia, atentados,
    etc.
     Evaluar los riesgos para determinar el impacto de dichas interrupciones,
    tanto en términos de magnitud de daño como del período de recuperación.
    Dicha evaluación debe identificar los recursos críticos, los impactos
    producidos por una interrupción, los tiempos de interrupción aceptables o
    permitidos, y debe especificar las prioridades de recuperación.
     Identificar los controles preventivos, como por ejemplo sistemas de
    supresión de fuego, detectores de humo y fuego, contenedores resistentes
    al calor y a prueba de agua para los medios de backup, los registros no
    electrónicos vitales, etc.

    Esta actividad será llevada a cabo con la activa participación del encargado del
    Área de la Seguridad Informática y los empleados de cada área, considerando
    todos los procesos de las actividades del Organismo y no limitándose a las
    instalaciones de procesamiento de la información.

    Según los resultados de la evaluación de esta actividad, se desarrollará un plan


    estratégico para determinar el enfoque global con el que se abordará la
    continuidad de las actividades del Área. Una vez que se ha creado este plan, el
    mismo debe ser propuesto.
    Código: PGT-PSI-002
    ÁREA DE PROCESO DE GESTIÓN TIC Página: 1 DE 6
    Versión: 01
    POLÍTICA DE SEGURIDAD DE LA Fecha de Emisión:
    INFORMACIÓN 19/07/2017
    Fecha de Actualización:

    10.1.3 Control: Desarrollo e implantación de planes de continuidad que


    incluyan la seguridad de la información

    El encargado del Área de la Seguridad Informática y los empleados de cada área,


    deben elaborar los planes de contingencia necesarios para garantizar la
    continuidad de las actividades del Área.

    El proceso de planificación de la continuidad de las actividades debe considerar


    los siguientes puntos:

     Identificar y acordar respecto a todas las funciones y procedimientos de


    emergencia.
     Analizar los posibles escenarios de contingencia y definir las acciones
    correctivas a implementar en cada caso.
     Implementar procedimientos de emergencia para permitir la recuperación y
    restablecimiento en los plazos requeridos.
     Documentar los procedimientos y procesos acordados.
     Instruir adecuadamente al personal, en materia de procedimientos y
    procesos de emergencia acordados, incluyendo el manejo de crisis.
     Instruir al personal involucrado en los procedimientos de reanudación y
    recuperación en los siguientes temas:
    - Objetivo del plan.
    - Mecanismos de coordinación y comunicación entre equipos
    (personal involucrado).
    - Procedimientos de divulgación.
    - Requisitos de la seguridad.
    - Procesos específicos para el personal involucrado.
    - Responsabilidades individuales.
     Probar y actualizar los planes, guardando evidencia formal de las pruebas y
    sus resultados.
    Código: PGT-PSI-002
    ÁREA DE PROCESO DE GESTIÓN TIC Página: 1 DE 6
    Versión: 01
    POLÍTICA DE SEGURIDAD DE LA Fecha de Emisión:
    INFORMACIÓN 19/07/2017
    Fecha de Actualización:

    Sanciones previstas por incumplimiento

    El incumplimiento de las disposiciones establecidas por las Políticas de Seguridad


    de la Información tendrá como resultado la aplicación de diversas sanciones,
    conforme a la magnitud y característica del aspecto no cumplido.

    Asistencia

    Cualquier solicitud relacionada con esta política o aplicaciones de esta debe ser
    referida al Área de Proceso de Gestión TIC.
    Referencias

    ISO/IEC 27001:2013 e ISO/IEC 27002:2013

    También podría gustarte